Les aspects juridiques (DIAMOND)
Relations contractuelles entre les différents acteurs du système
La relation entre le titulaire du compte et son PSP
Sur un plan contractuel, le PSP du titulaire du compte devra adapter la convention de compte pour expliquer que DIAMOND fait désormais intégralement partie de la tenue de compte :
- Le Titulaire du compte sera ainsi informé que le traitement de ses données personnelles se voit affecter une finalité supplémentaire: la fiabilisation des coordonnées bancaires
- Le Titulaire du compte consentira de la sorte à la levée du secret professionnel afin que son PSP puisse répondre aux demandes qui lui sont adressées
En complément, le titulaire du compte pourra obtenir des informations sur le détail du fonctionnement, en particulier :
- le détail des traitements est conforme à la norme "fiabilisation des coordonnées bancaires avec SEPAmail"
- les résultats de ces traitements ne sont accessibles qu'à des donneurs d'ordre dûment authentifiés grâce aux fonctionnalités de la messagerie SEPAmail, ayant signé un contrat de service avec un PSP participant au système. En particulier, ce contrat oblige le donneur d'ordre à n'effectuer que des contrôles sur les coordonnées bancaires fournies au préalable par le titulaire en vue d’une future opération de paiement.
- le titulaire peut demander le résultat des traitements effectués sur son compte auprès de son PSP suivant une procédure définie par le PSP (La liste des messages reçus avec les données répondues, suffit à l’information du client).
La modification des conventions de compte pourra se faire dans les conditions prévues aux articles L 312-1-1 ou L. 314-13 du Code monétaire et financier. Pour la mise en place du service :
- s’agissant des nouveaux clients, le client signera une convention modifiée,
- s’agissant des anciens clients, le titulaire du compte acceptera la modification de la convention par voie d’acceptation tacite, après expiration d’un délai de préavis.
Par ailleurs, les PSP effectueront une déclaration auprès de la CNIL pour la mise en œuvre du traitement DIAMOND (algorithme et conservation des données pour preuve).
La relation entre le donneur d’ordre et son PSP
Le PSP tenant le compte du donneur d’ordre, en plus de son rôle d’acquisition et d’authentification des flux, doit faire signer un contrat (le cas échéant spécifique) à son client. Le donneur d’ordre, en échange de la possibilité de faire des transactions DIAMOND, doit s’engager sur les principes suivants :
- Avoir un ICQX demandé auprès de SEPAmail.eu, permettant au PSP du titulaire de consolider les demandes qui lui seront envoyées (En effet, la seule consolidation sur l’IBAN du donneur d’ordre ne permet pas d’indiquer clairement et sans ambiguïté au titulaire qui a réalisé une demande de fiabilisation),
- N’effectuer des contrôles que sur des coordonnées bancaires fournies au préalable et directement par des titulaires de compte,
- Avoir bien compris les limites du système, en particulier les incertitudes concernant le traitement algorithmique du nom et du prénom du titulaire,
- Respecter la législation en vigueur sur le traitement des données à caractère personnel (notamment quant aux formalités préalables),
- Effectuer ces contrôles uniquement pour son propre compte ou le compte d’entités l’ayant dûment mandaté à cet effet (L’ICQX présent dans le message DIAMOND doit appartenir à l’entité qui demande effectivement ce contrôle, entité responsable en cas d’abus de contrôle),
- Mettre en place l’organisation nécessaire pour que son système ne soit pas détourné ou utilisé à son insu pour réaliser des transactions DIAMOND hors de son objet initial.
La relation entre le donneur d’ordre et le titulaire du compte
Si les règles régissant les relations entre ces deux acteurs ne relèvent pas de la compétence des PSP adhérents de SEPAMAIL, les donneurs d’ordre seront tenus de remplir les formalités nécessaires auprès de la CNIL pour mettre en place les traitements associés au service DIAMOND.
Les relations entre les PSP définies au sein de SEPAmail.eu
Les relations entre les PSP sont définies dans le cadre du respect de la norme et des règles opérationnelles formalisées dans le contrat d’adhésion.
SEPAMAIL.EU enregistre et maintient le référentiel des entités « donneurs d’ordres » pouvant effectuer des transactions DIAMOND.